Comment le Royaume-Uni entend renforcer la cybersécurité avec son nouveau projet de loi

Le Royaume-Uni présente un nouveau projet de loi sur la cybersécurité et la résilience

Les menaces de cybersécurité deviennent plus audacieuses, plus rapides et, franchement, plus intelligentes. Le gouvernement britannique a décidé d’arrêter de réagir tardivement et d’adopter une position proactive. Avec le projet de loi sur la cybersécurité et la résilience qui doit être présenté au Parlement, il s’efforce de protéger les infrastructures nationales contre les risques numériques croissants, en particulier les ransomwares, qui continuent de cibler des systèmes essentiels tels que les soins de santé, la logistique et les services de données.

Ce projet de loi vise à créer un changement structurel dans la manière dont l’infrastructure numérique est protégée, ce qui aurait dû être fait depuis longtemps, compte tenu des réglementations obsolètes de 2018 toujours en vigueur. Le Royaume-Uni veut protéger les agences gouvernementales et les entreprises privées qui exploitent des infrastructures vitales. Les dirigeants de tous les secteurs devront s’atteler sérieusement à la mise en place d’une cyber-résilience durable, sans mises à niveau facultatives ni marges de sécurité négligeables.

Pour les dirigeants qui gèrent des services critiques, ce projet de loi soulève une question opportune : « Nos systèmes sont-ils suffisamment résistants pour faire face aux menaces actuelles ? » Et si ce n’est pas le cas, on attendra de vous que vous fassiez de la place sur votre feuille de route et dans votre budget pour qu’il en soit ainsi. L’investissement dans la sécurité fondamentale ne peut plus être retardé jusqu’aux évaluations post-incident, il doit faire partie de votre stratégie de premier niveau.

Regardons les chiffres. Le Centre national de cybersécurité (NCSC) du Royaume-Uni a signalé 430 cyberincidents en 2024, contre 371 l’année précédente. Parmi ces incidents, 89 attaques ont été considérées comme « significatives au niveau national », ce qui signifie qu’elles ont perturbé des services essentiels ou frappé l’économie au sens large. Il ne faut donc plus croire que ces menaces sont isolées. Elles sont ciblées, coordonnées et perturbatrices.

Peter Kyle, secrétaire d’État britannique à la technologie, affirme que cette législation est essentielle pour positionner le Royaume-Uni en tant que leader mondial en matière de sécurité numérique. Il la présente comme une question de sécurité nationale et d’intégrité du marché. Il a raison. La compétitivité nationale dans l’économie numérique dépend de la confiance, et cette confiance dépend de la résilience. Si vous êtes PDG, directeur financier ou directeur des systèmes d’information et que vous vous trouvez à proximité de services critiques, c’est un signal : renforcez votre infrastructure, durcissez vos systèmes et prenez de l’avance sur les délais de mise en conformité du gouvernement avant que votre main ne soit forcée.

Élargissement du champ d’application de la réglementation à 1 000 fournisseurs de services supplémentaires

L’approche du Royaume-Uni en matière de cyberdéfense est sur le point d’évoluer, rapidement. Les lois actuelles sur la cybersécurité sont toujours liées aux règlements de 2018 sur les réseaux et les systèmes d’information (NIS), qui ne couvrent qu’un ensemble limité de secteurs tels que les transports, l’énergie et les soins de santé. Elles laissent de sérieuses lacunes, en particulier dans des domaines tels que l’infrastructure de données, qui alimente aujourd’hui tout, des services gouvernementaux aux pipelines d’IA. Cette situation est en train de changer.

Le nouveau projet de loi sur la cybersécurité et la résilience étendra la couverture réglementaire à environ 1 000 nouveaux fournisseurs de services. Il s’agit de secteurs qui n’avaient jamais été officiellement couverts auparavant, notamment les centres de données. Depuis le mois de septembre, les centres de données sont officiellement reconnus comme des infrastructures nationales essentielles. Ce changement reflète directement à quel point ces installations sont devenues essentielles aux opérations nationales et à la stabilité économique.

Pour les dirigeants, cette expansion est synonyme de nouvelles obligations, qui impliquent probablement des audits de conformité, des calendriers de signalement des incidents et une planification budgétaire pour la mise à jour des capacités de sécurité. Si vous travaillez dans un secteur qui n’était pas encore sous le feu des projecteurs, il est temps de vous préparer. Les entreprises seront confrontées à des délais obligatoires, à des exigences croissantes de la part des régulateurs et à des risques juridiques potentiels en cas de non-conformité.

Cela a un coût, et les fonctionnaires le savent. William Richmond-Coggan, associé du cabinet d’avocats Freeths, spécialisé dans la gestion des litiges, a souligné cette réalité. Il a fait remarquer que même si une entreprise dispose du budget et de l’engagement des dirigeants, l’alignement des systèmes existants sur les normes de cybersécurité modernes est un travail de longue haleine. Il y a aussi un élément humain plus large : la sécurité réelle dépend du comportement, et pas seulement des protocoles et des logiciels. Son avertissement est clair : en s’appuyant trop sur la réglementation émanant du sommet, on risque de négliger ce qui est nécessaire au niveau opérationnel, la formation continue, le renforcement cohérent des meilleures pratiques et la vigilance organisationnelle.

Les cadres dirigeants devraient considérer cela comme un signal. Le champ d’application s’élargit parce que la surface d’attaque est plus grande que jamais. Et cela ne se produit que lorsque les dirigeants placent la cyberpréparation au même niveau que le risque financier ou le temps de fonctionnement.

Des pouvoirs réglementaires seront accordés aux organismes de surveillance afin de garantir une mise en œuvre rigoureuse des mesures de cybersécurité.

Le projet de loi britannique sur la cybersécurité et la résilience modifie le fonctionnement de la réglementation. Les régulateurs seront dotés d’une nouvelle autorité pour faire appliquer les normes de cybersécurité de manière décisive, combler les lacunes en matière de surveillance et s’assurer que les entreprises réduisent activement les risques de manière continue.

Les principaux organes de contrôle, comme l’Information Commissioner’s Office (ICO), disposeront désormais d’une plus grande marge de manœuvre. Ces pouvoirs comprennent l’émission d’avis d’information, l’obligation de répondre aux vulnérabilités potentielles et le recouvrement des coûts opérationnels par le biais de frais de réglementation. Des codes de pratique et des lignes directrices sectorielles seront publiés afin de clarifier les choses dans tous les secteurs. La conformité ne sera pas facultative ou vaguement définie, elle sera explicitée et appliquée.

Pour les cadres dirigeants, cela signifie que la pression réglementaire deviendra plus structurée et moins réactive. Le coût des affaires comprendra des audits de cybersécurité réguliers, des investissements initiaux et continus dans la prévention des violations et une véritable responsabilisation. Si vous opérez dans les transports, les services publics, les soins de santé, l’infrastructure cloud ou d’autres secteurs critiques, l’application de la réglementation s’intensifiera probablement par le biais de directives axées sur le secteur.

L’ampleur de l’application de la loi sera également modifiée. Selon les déclarations liées au projet de loi, le gouvernement prévoit de s’inspirer de la loi de 2021 sur les télécommunications (sécurité) pour concevoir son approche. Cette loi autorise des pénalités allant jusqu’à 100 000 livres sterling par jour ou 10 % du chiffre d’affaires annuel pour les entreprises qui ne se conforment pas à la loi. Ces chiffres sont suffisamment importants pour obliger le conseil d’administration à réagir.

Les régulateurs n’auront plus à attendre que les infractions causent des dommages pour agir. Ils disposeront des outils nécessaires pour intervenir de manière préventive. Pour les dirigeants, cela change la dynamique. La cybersécurité ne sera plus seulement une fonction de conformité, elle deviendra une attente opérationnelle permanente, applicable par la loi à tout moment. En pratique, il faut transformer la cyberdéfense, qui n’est plus une fonction d’arrière-guichet, en une priorité stratégique essentielle, sous peine d’être à la traîne de l’évolution des menaces et de l’environnement réglementaire.

Le projet de loi prévoit des exigences élargies en matière de déclaration d’incidents pour un plus grand nombre de cyber-événements.

Le projet de loi sur la cybersécurité et la résilience place la barre plus haut en ce qui concerne les informations à communiquer. L’époque où la divulgation se limitait aux événements entraînant des interruptions de service est révolue. Dans le nouveau cadre, tout incident cybernétique affectant la confidentialité, l’intégrité ou la disponibilité des systèmes sera soumis à une déclaration obligatoire.

À quoi cela ressemble-t-il dans la pratique ? Si les outils internes d’une entreprise sont compromis par un logiciel espion, même s’il n’y a pas de perturbation visible du service, les régulateurs s’attendent à être informés. Si des attaquants pénètrent dans un système et accèdent à des données sensibles, cet événement doit être signalé. Même les incidents qui touchent les clients, plutôt que vos systèmes directement, entrent dans ce champ d’application. Il s’agit de détection précoce, de transparence et de construction d’une compréhension commune de l’activité des menaces dans tous les secteurs.

Les dirigeants doivent prendre cette question au sérieux. Le projet de loi fixe un calendrier strict pour les rapports : les entreprises auront 24 heures pour avertir leur régulateur et le Centre national de cybersécurité (NCSC) après avoir identifié un incident important. Un rapport complet sur l’incident devra être présenté dans les 72 heures suivant la confirmation. Si vous fournissez des services numériques ou gérez un centre de données, vous devez également alerter les clients concernés dans ce délai.

L’objectif est clair : centraliser les informations sur les menaces en temps réel. En s’assurant que les régulateurs reçoivent des alertes précoces, les plans de réponse des gouvernements peuvent être activés avant que les problèmes ne s’aggravent. Cela favorise également l’apprentissage intersectoriel : si des attaquants utilisent une nouvelle vulnérabilité dans une entreprise, les autres peuvent se préparer rapidement.

Sur le plan opérationnel, cette nouvelle norme nécessitera des capacités de détection plus fortes et de meilleurs protocoles internes. De nombreuses organisations ne disposent toujours pas de systèmes cohérents de réponse aux incidents capables d’identifier, d’évaluer et d’escalader les menaces en quelques heures. Cette situation ne sera plus acceptable. Les dirigeants devraient investir dès à présent dans la surveillance en temps réel, la préparation médico-légale et la formation interne sur la manière de répondre aux exigences de notification sans délai.

Ce changement dans les rapports marque une transition vers une responsabilisation complète. Il s’agit de reconnaître les faiblesses lorsqu’elles se manifestent rapidement et d’être transparent à ce sujet. Les conseils d’administration devraient intégrer cette démarche dans leur modèle de gouvernance, car les régulateurs attendent désormais ce niveau de maturité à l’échelle du système.

Le gouvernement peut désormais mettre en œuvre des changements ad hoc en réponse à des menaces

Le projet de loi sur la cybersécurité et la résilience donne au gouvernement britannique ce qu’il n’avait pas jusqu’à présent dans le domaine de la cybersécurité : le pouvoir d’agir en temps réel. Plus précisément, le secrétaire à la technologie aura la possibilité de mettre à jour le cadre réglementaire à la demande. Cela signifie que si une nouvelle menace apparaît ou si un nouveau secteur devient vulnérable, le gouvernement n’aura pas besoin d’attendre un long processus législatif pour réagir.

Cette flexibilité est axée sur la rapidité. Elle permet au Royaume-Uni d’étendre rapidement la couverture réglementaire à de nouveaux types d’organisations ou de technologies au fur et à mesure de l’évolution des besoins en matière de sécurité nationale. Les réglementations ne seront plus statiques, elles pourront s’adapter aux changements de plateforme, aux nouvelles tactiques des acteurs de la menace et aux changements dans le mode de fonctionnement des services essentiels.

En cas de cybermenace active, qu’il s’agisse d’un ransomwared’une perturbation ciblée d’un système ou de quelque chose de plus avancé, le gouvernement sera en mesure d’émettre des directives de sécurité directement à toute organisation ou autorité de régulation concernée. Il peut s’agir d’actions obligatoires, telles que l’application de correctifs aux systèmes dans un délai déterminé ou des procédures de verrouillage de protection.

Ce type d’autorité est conçu pour réduire le temps de réponse et améliorer la coordination. Mais il introduit également un nouveau degré d’incertitude opérationnelle pour les entreprises. Vous pourriez recevoir des directives vous demandant d’agir dans les heures qui suivent, et non dans les semaines qui suivent, et vous devrez vous y conformer immédiatement. Cela signifie que si vos systèmes ne sont pas prêts à recevoir des correctifs, si vos protocoles de récupération sont fragiles ou si votre processus décisionnel interne est lent, votre réponse ne répondra pas aux attentes du gouvernement.

Pour les dirigeants, la conséquence est claire : il faut faire preuve de flexibilité. Assurez-vous que votre pile technologique et votre équipe peuvent répondre aux mises à jour rapides de la réglementation. Les stratégies de cybersécurité requièrent désormais l’implication de la direction, non seulement pour l’approbation, mais aussi pour l’appropriation continue. Vous devez mettre en place un système capable d’assimiler rapidement les nouvelles directives gouvernementales et de les faire évoluer.

Il s’agit de rendre les mesures de sécurité nationale actionnables à l’échelle, à l’intérieur des entreprises qui contrôlent les infrastructures clés. Le projet de loi indique également que la mise en œuvre s’inspirera du modèle utilisé dans la loi de 2021 sur les télécommunications (sécurité), qui prévoit des sanctions sévères, pouvant aller jusqu’à 100 000 livres sterling par jour ou 10 % du chiffre d’affaires mondial, en cas de non-respect de la loi.

Le message du gouvernement est clair : il n’attend pas. Et si votre entreprise prend en charge des fonctions critiques, directement ou indirectement, vous ne pourrez pas non plus attendre. Soyez prêt à évoluer aussi vite que les menaces.

Interdiction du paiement de rançons par les organismes du secteur public et les industries clés

Le gouvernement britannique réfléchit activement à une mesure controversée mais stratégique : l’interdiction du paiement de rançons par les organisations du secteur public et les industries critiques. L’objectif est clair : réduire les incitations financières à l’origine de la recrudescence des attaques par ransomware. Si les auteurs de menaces savent qu’il n’y aura pas de paiement, il y a moins de chances qu’ils investissent des ressources pour cibler les services essentiels du Royaume-Uni.

La proposition, révélée au début de l’année, fait l’objet d’un examen approfondi. Elle s’inscrit dans une stratégie gouvernementale plus large visant à perturber le cycle attaque-récompense dont dépendent de nombreux cybercriminels. Rendre les infrastructures critiques plus difficiles à exploiter et moins lucratives fait partie d’une stratégie de dissuasion à long terme.

Cette décision s’accompagne toutefois de compromis opérationnels, en particulier pour les secteurs à fort enjeu tels que les soins de santé. Des experts ont exprimé la crainte qu’une interdiction générale ne crée des situations dangereuses où le temps d’arrêt du système devient une question de vie ou de mort. Dans de tels environnements, le refus de payer les rançons pourrait entraîner des pannes prolongées, des traitements retardés, voire des décès. Cette nuance n’a pas été ignorée. Certains cercles gouvernementaux ont reconnu que des exemptions pourraient être nécessaires pour les services essentiels traitant des opérations de sécurité de la vie.

Pour les cadres dirigeants, en particulier ceux des secteurs réglementés, cette évolution de l’orientation politique devrait déclencher un examen interne immédiat. Si une politique de non-paiement est mise en œuvre, votre stratégie actuelle de réponse aux incidents risque de devenir obsolète. Vous aurez besoin d’une bien meilleure planification de la résilience, de sauvegardes plus solides, de processus de restauration des données plus rapides et d’une coordination sans faille avec les régulateurs et le Centre national de cybersécurité (NCSC). Vous devrez également aligner vos équipes juridiques, opérationnelles et de gouvernance sur la manière de collaborer avec les autorités chargées de l’application de la loi dans ces nouvelles conditions.

Il est important de comprendre que cette interdiction potentielle n’est pas censée fonctionner de manière isolée. Elle s’inscrit dans le cadre d’une stratégie plus large que le projet de loi met en œuvre et qui met l’accent sur la prévention, l’application rapide de la loi et la visibilité à l’échelle du secteur. Alors que le débat est toujours en cours, les dirigeants tournés vers l’avenir considéreront cela comme un signal précoce pour améliorer leur position de résilience. En effet, une fois mises en œuvre, les règles s’appliqueront avec tout le poids de l’intention de sécurité nationale. Pas d’exception par ignorance. Seule la préparation permettra de réagir.

Principaux enseignements pour les dirigeants

Les réformes britanniques ciblent les menaces croissantes de ransomware : Le projet de loi sur la cybersécurité et la résilience marque le passage d’une cyberdéfense réactive à une cyberdéfense proactive. Les dirigeants des secteurs critiques devraient faire de l’investissement cybernétique et de la résilience une priorité opérationnelle essentielle.
Le champ d’application de la réglementation s’élargit considérablement : Environ 1 000 nouveaux fournisseurs de services, y compris les centres de données, seront soumis aux nouvelles règles de cybersécurité. Les dirigeants doivent évaluer l’exposition actuelle et préparer l’infrastructure et les équipes à une intégration complète de la réglementation.
Les régulateurs disposent d’outils d’application plus efficaces : Les agences telles que l’ICO seront habilitées à émettre des directives, à recouvrer les coûts et à imposer des sanctions importantes. Les décideurs devraient développer des systèmes de gouvernance capables de répondre à une surveillance plus agressive et à des audits préventifs.
Les exigences en matière de notification des incidents sont élargies : Les cyber-événements affectant l’intégrité, la confidentialité ou la disponibilité des données doivent être signalés dans les 24 à 72 heures. Les organisations doivent faire évoluer leurs systèmes de détection et de réponse afin de respecter ces délais sans commettre d’impair réglementaire.
Le gouvernement peut agir en temps réel en cas de menace : Le secrétaire à la technologie pourra prendre des mesures obligatoires en matière de cybersécurité et étendre instantanément la couverture sectorielle. Les chefs d’entreprise doivent s’assurer que les systèmes et les équipes peuvent répondre rapidement à des directives changeantes sans délai opérationnel.
L’interdiction des paiements de rançons est à l’étude : Le Royaume-Uni pourrait interdire le paiement de rançons dans les secteurs publics et critiques afin de réduire les incitations criminelles. Les responsables, en particulier dans les secteurs de la santé et des infrastructures, devraient mettre à jour leurs protocoles d’intervention pour tenir compte des contraintes juridiques liées au paiement en cas d’attaque.

Alexander Procter

avril 17, 2025

16 Min

Technologies et innovation
Ce que les pare-feu LLM signifient réellement pour l’avenir de la sécurité de l’IA
Avr 17, 2025
20 min
Technologies et innovation
Faire fonctionner l’IA au sein de votre pile technologique CX
Avr 17, 2025
16 min
Tendances sectorielles
Pourquoi la loi sur la sécurité en ligne ne fonctionne pas comme prévu
Avr 17, 2025
17 min

Comment le Royaume-Uni entend renforcer la cybersécurité avec son nouveau projet de loi

Le Royaume-Uni présente un nouveau projet de loi sur la cybersécurité et la résilience

Élargissement du champ d’application de la réglementation à 1 000 fournisseurs de services supplémentaires

Des pouvoirs réglementaires seront accordés aux organismes de surveillance afin de garantir une mise en œuvre rigoureuse des mesures de cybersécurité.

Le projet de loi prévoit des exigences élargies en matière de déclaration d’incidents pour un plus grand nombre de cyber-événements.

Le gouvernement peut désormais mettre en œuvre des changements ad hoc en réponse à des menaces

Interdiction du paiement de rançons par les organismes du secteur public et les industries clés

Principaux enseignements pour les dirigeants

Ce que les pare-feu LLM signifient réellement pour l’avenir de la sécurité de l’IA

Faire fonctionner l’IA au sein de votre pile technologique CX

Pourquoi la loi sur la sécurité en ligne ne fonctionne pas comme prévu

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps